Publicado em 3 de janeiro de 2017 | Atualizado em 2 de fevereiro de 2017
O Boletim de segurança do Android contém detalhes das vulnerabilidades de segurança que afetam os dispositivos Android. Além do boletim, lançamos uma atualização de segurança para dispositivos Google por OTA. As imagens de firmware do dispositivo do Google também foram lançadas no site para desenvolvedores do Google. Os níveis do patch de segurança de 5 de janeiro de 2017 ou mais recentes resolvem todos esses problemas. Consulte o programa de atualização do Pixel e Nexus para saber como verificar o nível do patch de segurança de um dispositivo.
Os parceiros foram notificados dos problemas descritos no boletim em 5 de dezembro de 2016 ou antes. Os patches do código-fonte para esses problemas foram lançados no repositório do Android Open Source Project (AOSP) e vinculados a este boletim. Este boletim também inclui links para patches fora do AOSP.
O problema mais grave é uma vulnerabilidade de segurança crítica que pode permitir a execução remota de código em um dispositivo afetado por vários métodos, como e-mail, navegação na Web e MMS ao processar arquivos de mídia. A avaliação de gravidade é baseada no efeito que a exploração da vulnerabilidade teria em um dispositivo afetado, supondo que as mitigações de plataforma e serviço estejam desativadas para fins de desenvolvimento ou se forem contornadas.
Não recebemos relatos de exploração ou abuso ativo de clientes desses problemas recém-informados. Consulte a seção Mitigações de serviços do Android e do Google para saber mais sobre as proteções da plataforma de segurança do Android e as proteções de serviço, como a SafetyNet, que melhoram a segurança da plataforma Android.
Recomendamos que todos os clientes aceitem essas atualizações nos dispositivos.
Anúncios
- Este boletim tem duas strings de nível de patch de segurança para oferecer aos parceiros
do Android a flexibilidade de corrigir mais rapidamente um subconjunto de vulnerabilidades
semelhantes em todos os dispositivos Android. Consulte Perguntas e respostas comuns para
mais informações:
- 2017-01-01: string de nível de patch de segurança parcial. Essa cadeia de nível de patch de segurança indica que todos os problemas associados a 2017-01-01 (e todas as cadeias de nível de patch de segurança anteriores) foram resolvidos.
- 2017-01-05: string de nível do patch de segurança completa. Essa cadeia de nível de patch de segurança indica que todos os problemas associados a 2017-01-01 e 2017-01-05 (e todas as cadeias de nível de patch de segurança anteriores) foram resolvidos.
- Os dispositivos Google compatíveis vão receber uma única atualização OTA com o nível do patch de segurança de 5 de janeiro de 2017.
Resumo da vulnerabilidade de segurança
As tabelas abaixo contêm uma lista de vulnerabilidades de segurança, o ID de vulnerabilidades e exposições comuns (CVE, na sigla em inglês), a gravidade avaliada e se os dispositivos Google estão ou não afetados. A avaliação de gravidade é baseada no efeito que a exploração da vulnerabilidade teria em um dispositivo afetado, supondo que as mitigações de plataforma e serviço estejam desativadas para fins de desenvolvimento ou se forem contornadas.
Mitigações de serviço do Android e do Google
Este é um resumo das mitigações fornecidas pela plataforma de segurança do Android e pelas proteções de serviço, como a SafetyNet. Esses recursos reduzem a probabilidade de vulnerabilidades de segurança serem exploradas com sucesso no Android.
- A exploração de muitos problemas no Android fica mais difícil devido às melhorias nas versões mais recentes da Plataforma Android. Recomendamos que todos os usuários atualizem para a versão mais recente do Android, sempre que possível.
- A equipe de segurança do Android monitora ativamente os abusos com Verify Apps e SafetyNet, que foram criados para alertar os usuários sobre aplicativos potencialmente nocivos. A verificação de apps é ativada por padrão em dispositivos com Google Mobile Services e é especialmente importante para usuários que instalam apps fora do Google Play. Ferramentas de enraizamento de dispositivos são proibidas no Google Play, mas o recurso "Verificar apps" alerta os usuários quando eles tentam instalar um aplicativo de enraizamento detectado, não importa a origem. Além disso, o Verify Apps tenta identificar e bloquear a instalação de aplicativos maliciosos conhecidos que exploram uma vulnerabilidade de elevação de privilégios. Se esse aplicativo já tiver sido instalado, o recurso Verificar apps vai notificar o usuário e tentar remover o aplicativo detectado.
- Conforme apropriado, os apps do Google Hangouts e do Messenger não transmitem mídia automaticamente para processos como o Mediaserver.
Agradecimentos
Agradecemos as contribuições dos seguintes pesquisadores:
- Alexandru Blanda: CVE-2017-0390
- Daniel Micay, da Copperhead Security: CVE-2017-0397
- Daxing Guo (@freener0) do Xuanwu Lab, Tencent: CVE-2017-0386
- derrek (@derrekr6): CVE-2017-0392
- Di Shen (@returnsme) do KeenLab (@keen_lab), Tencent: CVE-2016-8412, CVE-2016-8444, CVE-2016-8427, CVE-2017-0403
- donfos (Aravind Machiry), da Shellphish Grill Team, da Universidade da Califórnia em Santa Barbara: CVE-2016-8448, CVE-2016-8470, CVE-2016-8471, CVE-2016-8472
- En He (@heeeeen4x) da MS509Team: CVE-2017-0394
- Gengjia Chen (@chengjia4574) e pjf do IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-8464
- Equipe do Google WebM: CVE-2017-0393
- Guang Gong (龚广) (@oldfresher) da Equipe Alpha, Qihoo 360 Technology Co. Ltd.: CVE-2017-0387
- Hao Chen e Guang Gong da Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2016-8415, CVE-2016-8454, CVE-2016-8455, CVE-2016-8456, CVE-2016-8457, CVE-2016-8465
- Jianqiang Zhao (@jianqiangzhao) e pjf do IceSword Lab, Qihoo 360: CVE-2016-8475
- Jon Sawyer (@jcase) e Sean Beaupre (@firewaterdevs): CVE-2016-8462
- Jon Sawyer (@jcase), Sean Beaupre (@firewaterdevs) e Ben Actis (@Ben_RA): CVE-2016-8461.
- Mingjian Zhou (@Mingjian_Zhou), Yuqi Lu (@nikos233), Chiachih Wu (@chiachih_wu) e Xuxian Jiang da Equipe C0RE: CVE-2017-0383
- Monk Avel: CVE-2017-0396, CVE-2017-0399
- Peter Pi (@heisecode) da Trend Micro: CVE-2016-8469, CVE-2016-8424, CVE-2016-8428, CVE-2016-8429, CVE-2016-8460, CVE-2016-8473, CVE-2016-8474
- Qidan He (何淇丹) (@flanker_hqd) da KeenLab, Tencent (腾讯科恩实验室): CVE-2017-0382
- Roee Hay e Michael Goberman, da IBM Security X-Force: CVE-2016-8467
- Seven Shen (@lingtongshen) da equipe de pesquisa de ameaças móveis da Trend Micro: CVE-2016-8466
- Stephen Morrow: CVE-2017-0389
- V.E.O (@VYSEa) da equipe de pesquisa de ameaças a dispositivos móveis, Trend Micro: CVE-2017-0381
- Weichao Sun (@sunblate) da Alibaba Inc.: CVE-2017-0391
- Wenke Dou, Chiachih Wu (@chiachih_wu) e Xuxian Jiang da Equipe C0RE: CVE-2017-0402, CVE-2017-0398
- Wenke Dou, Hanxiang Wen, Chiachih Wu (@chiachih_wu) e Xuxian Jiang da Equipe C0RE: CVE-2017-0400
- Wenke Dou, Hongli Han, Chiachih Wu (@chiachih_wu) e Xuxian Jiang da Equipe C0RE: CVE-2017-0384, CVE-2017-0385
- Wenke Dou, Yuqi Lu (@nikos233), Chiachih Wu (@chiachih_wu) e Xuxian Jiang da Equipe C0RE: CVE-2017-0401
- Yao Jun, Yuan-Tsung Lo, Chiachih Wu (@chiachih_wu) e Xuxian Jiang da Equipe C0RE: CVE-2016-8431, CVE-2016-8432 e CVE-2016-8435.
- Yong Wang (王勇) (@ThomasKing2014) e Jun Cheng, da Alibaba Inc.: CVE-2017-0404
- Yuan-Tsung Lo, Tong Lin, Chiachih Wu (@chiachih_wu) e Xuxian Jiang da Equipe C0RE: CVE-2016-8425, CVE-2016-8426, CVE-2016-8449
- Yuan-Tsung Lo, Yanfeng Wang, Chiachih Wu (@chiachih_wu) e Xuxian Jiang da Equipe C0RE: CVE-2016-8430, CVE-2016-8482
- Yuxiang Li (@Xbalien29) do Departamento de Plataforma de Segurança da Tencent: CVE-2017-0395
- Zhanpeng Zhao (行之) (@0xr0ot) do Security Research Lab, Cheetah Mobile: CVE-2016-8451
Também gostaríamos de agradecer aos seguintes pesquisadores pelas contribuições a este boletim:
- Baozeng Ding, Chengming Yang, Peng Xiao, Ning You, Yang Dong, Chao Yang, Yi Zhang e Yang Song do Grupo de Segurança de Dispositivos Móveis da Alibaba
- Peter Pi (@heisecode) da Trend Micro
- Zubin Mithra, do Google
Nível do patch de segurança de 01/01/2017: detalhes da vulnerabilidade
Nas seções abaixo, fornecemos detalhes sobre cada uma das vulnerabilidades de segurança que se aplicam ao nível do patch 2017-01-01. Há uma descrição do problema, um raciocínio sobre a gravidade e uma tabela com as vulnerabilidades e exposições comuns, as referências associadas, a gravidade, os dispositivos Google atualizados, as versões do AOSP atualizadas (quando aplicável) e a data de notificação. Quando disponível, vamos vincular a mudança pública que resolveu o problema ao ID do bug, como a lista de mudanças do AOSP. Quando várias mudanças se relacionam a um único bug, outras referências são vinculadas a números após o ID do bug.
Vulnerabilidade de execução remota de código no c-ares
Uma vulnerabilidade de execução remota de código no c-ares pode permitir que um invasor use uma solicitação criada especialmente para executar códigos arbitrários no contexto de um processo não privilegiado. Esse problema é classificado como Alto devido à possibilidade de execução remota de código em um aplicativo que usa essa biblioteca.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2016-5180 | A-32205736 | Alta | Tudo | 7.0 | 29 de setembro de 2016 |
Vulnerabilidade de execução de código remoto no Framesequence
Uma vulnerabilidade de execução remota de código na biblioteca Framesequence pode permitir que um invasor use um arquivo criado especialmente para executar um código arbitrário no contexto de um processo sem privilégios. Esse problema é classificado como Alto devido à possibilidade de execução remota de código em um aplicativo que usa a biblioteca Framesequence.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2017-0382 | A-32338390 | Alta | Tudo | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 21 de outubro de 2016 |
Elevação de vulnerabilidade de privilégio em APIs de framework
Uma elevação de vulnerabilidade de privilégio nas APIs do framework pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto de um processo privilegiado. Esse problema foi classificado como Alto porque pode ser usado para ter acesso local a recursos elevados, que normalmente não são acessíveis a um aplicativo de terceiros.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2017-0383 | A-31677614 | Alta | Tudo | 7.0, 7.1.1 | 21 de setembro de 2016 |
Elevação de vulnerabilidade de privilégio no Audioserver
Uma elevação de vulnerabilidade de privilégio no Audioserver pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto de um processo privilegiado. Esse problema foi classificado como Alto porque pode ser usado para ter acesso local a recursos elevados, que normalmente não são acessíveis a um aplicativo de terceiros.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2017-0384 | A-32095626 | Alta | Tudo | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 11 de outubro de 2016 |
| CVE-2017-0385 | A-32585400 | Alta | Tudo | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 11 de outubro de 2016 |
Vulnerabilidade de elevação de privilégios em libnl
Uma elevação de vulnerabilidade de privilégio na biblioteca libnl pode permitir que um aplicativo malicioso local execute códigos arbitrários no contexto de um processo privilegiado. Esse problema foi classificado como Alto porque pode ser usado para ter acesso local a recursos elevados, que normalmente não são acessíveis a um aplicativo de terceiros.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2017-0386 | A-32255299 | Alta | Tudo | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 18 de outubro de 2016 |
Elevação de vulnerabilidade de privilégio no Mediaserver
Uma elevação de vulnerabilidade de privilégio no Mediaserver pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto de um processo privilegiado. Esse problema foi classificado como Alto porque pode ser usado para ter acesso local a recursos elevados, que normalmente não são acessíveis a um aplicativo de terceiros.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2017-0387 | A-32660278 | Alta | Tudo | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 4 de novembro de 2016 |
Vulnerabilidade de divulgação de informações no provedor de armazenamento externo
Uma vulnerabilidade de divulgação de informações no provedor de armazenamento externo pode permitir que um usuário secundário local leia dados de um cartão SD de armazenamento externo inserido pelo usuário principal. Esse problema foi classificado como Alto porque pode ser usado para acessar dados sem permissão.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2017-0388 | A-32523490 | Alta | Tudo | 6.0, 6.0.1, 7.0, 7.1.1 | Uso interno do Google |
Vulnerabilidade de negação de serviço na rede principal
Uma vulnerabilidade de negação de serviço na rede principal pode permitir que um invasor remoto use um pacote de rede criado especialmente para causar uma suspensão ou reinicialização do dispositivo. Esse problema é classificado como alto devido à possibilidade de negação remota de serviço.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2017-0389 | A-31850211 [2] [3] | Alta | Tudo | 6.0, 6.0.1, 7.0, 7.1.1 | 20 de julho de 2016 |
Vulnerabilidade de negação de serviço no Mediaserver
Uma vulnerabilidade de negação de serviço no Mediaserver pode permitir que um invasor remoto use um arquivo especialmente criado para causar uma falha ou reinicialização do dispositivo. Esse problema é classificado como Alto devido à possibilidade de negação de serviço remota.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2017-0390 | A-31647370 | Alta | Tudo | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 19 de setembro de 2016 |
| CVE-2017-0391 | A-32322258 | Alta | Tudo | 6.0, 6.0.1, 7.0, 7.1.1 | 20 de outubro de 2016 |
| CVE-2017-0392 | A-32577290 | Alta | Tudo | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 29 de outubro de 2016 |
| CVE-2017-0393 | A-30436808 | Alta | Tudo | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | Uso interno do Google |
Vulnerabilidade de negação de serviço em telefonia
Uma vulnerabilidade de negação de serviço na telefonia pode permitir que um invasor remoto cause uma falha ou reinicialização do dispositivo. Esse problema é classificado como alto devido à possibilidade de negação de serviço remota.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2017-0394 | A-31752213 | Alta | Tudo | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 23 de setembro de 2016 |
Vulnerabilidade de elevação de privilégios nos Contatos
Uma vulnerabilidade de elevação de privilégio no app Contatos pode permitir que um aplicativo local malicioso crie dados de contato silenciosamente. Esse problema é classificado como moderado porque é um desvio local dos requisitos de interação do usuário (acesso a uma funcionalidade que normalmente exigiria a iniciação ou a permissão do usuário).
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2017-0395 | A-32219099 | Moderada | Tudo | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 15 de outubro de 2016 |
Vulnerabilidade de divulgação de informações no Mediaserver
Uma vulnerabilidade de divulgação de informações no Mediaserver pode permitir que um aplicativo malicioso local acesse dados fora dos níveis de permissão. Esse problema é classificado como moderado porque pode ser usado para acessar dados sensíveis sem permissão.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2017-0381 | A-31607432 | Moderada | Tudo | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 18 de setembro de 2016 |
| CVE-2017-0396 | A-31781965 | Moderada | Tudo | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 27 de setembro de 2016 |
| CVE-2017-0397 | A-32377688 | Moderada | Tudo | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 21 de outubro de 2016 |
Vulnerabilidade de divulgação de informações no Audioserver
Uma vulnerabilidade de divulgação de informações no Audioserver poderia permitir que um aplicativo malicioso local acessasse dados fora dos níveis de permissão. Esse problema é classificado como moderado porque pode ser usado para acessar dados sensíveis sem permissão.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2017-0398 | A-32438594 | Moderada | Tudo | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 de outubro de 2016 |
| CVE-2017-0398 | A-32635664 | Moderada | Tudo | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 de outubro de 2016 |
| CVE-2017-0398 | A-32624850 | Moderada | Tudo | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 de outubro de 2016 |
| CVE-2017-0399 | A-32247948 [2] | Moderada | Tudo | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 18 de outubro de 2016 |
| CVE-2017-0400 | A-32584034 [2] | Moderada | Tudo | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 de outubro de 2016 |
| CVE-2017-0401 | A-32448258 | Moderada | Tudo | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 26 de outubro de 2016 |
| CVE-2017-0402 | A-32436341 [2] | Moderada | Tudo | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 de outubro de 2016 |
Nível do patch de segurança de 05/01/2017: detalhes da vulnerabilidade
Nas seções abaixo, fornecemos detalhes sobre cada uma das vulnerabilidades de segurança que se aplicam ao nível do patch 2017-01-05. Há uma descrição do problema, um raciocínio sobre a gravidade e uma tabela com as vulnerabilidades e exposições comuns, as referências associadas, a gravidade, os dispositivos Google atualizados, as versões do AOSP atualizadas (quando aplicável) e a data de notificação. Quando disponível, vamos vincular a mudança pública que resolveu o problema ao ID do bug, como a lista de mudanças do AOSP. Quando várias mudanças se relacionam a um único bug, outras referências são vinculadas a números após o ID do bug.
Elevação de vulnerabilidade de privilégio no subsistema de memória do kernel
Uma elevação de vulnerabilidade de privilégio no subsistema de memória do kernel pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do kernel. Esse problema é classificado como crítico devido à possibilidade de comprometimento permanente local do dispositivo, que pode exigir a reinstalação do sistema operacional para reparar o dispositivo.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2015-3288 | A-32460277 Kernel upstream |
Crítico | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 9 de julho de 2015 |
Elevação de vulnerabilidade de privilégio no carregador de inicialização da Qualcomm
Uma elevação de vulnerabilidade de privilégio no bootloader da Qualcomm pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto do kernel. Esse problema é classificado como crítico devido à possibilidade de comprometimento permanente local do dispositivo, que pode exigir a reinstalação do sistema operacional para reparar o dispositivo.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-8422 | A-31471220 QC-CR#979426 |
Crítico | Nexus 6, Nexus 6P, Pixel, Pixel XL | 22 de julho de 2016 |
| CVE-2016-8423 | A-31399736 QC-CR#1000546 |
Crítico | Nexus 6P, Pixel, Pixel XL | 24 de agosto de 2016 |
Vulnerabilidade de elevação de privilégio no sistema de arquivos do kernel
Uma vulnerabilidade de elevação de privilégio no sistema de arquivos do kernel pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto do kernel. Esse problema é classificado como crítico devido à possibilidade de comprometimento permanente local do dispositivo, que pode exigir a reinstalação do sistema operacional para reparar o dispositivo.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2015-5706 | A-32289301 Kernel upstream |
Crítico | Nenhuma* | 1º de agosto de 2016 |
* Dispositivos Google com suporte no Android 7.0 ou versões mais recentes que instalaram todas as atualizações disponíveis não são afetados por essa vulnerabilidade.
Vulnerabilidade de elevação de privilégio no driver de GPU NVIDIA
Uma elevação de vulnerabilidade de privilégio no driver da GPU NVIDIA pode permitir que um aplicativo malicioso local execute códigos arbitrários no contexto do kernel. Esse problema é classificado como crítico devido à possibilidade de comprometimento permanente local do dispositivo, que pode exigir a reinstalação do sistema operacional para reparar o dispositivo.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-8424 | A-31606947* N-CVE-2016-8424 |
Crítico | Nexus 9 | 17 de setembro de 2016 |
| CVE-2016-8425 | A-31797770* N-CVE-2016-8425 |
Crítico | Nexus 9 | 28 de setembro de 2016 |
| CVE-2016-8426 | A-31799206* N-CVE-2016-8426 |
Crítico | Nexus 9 | 28 de setembro de 2016 |
| CVE-2016-8482 | A-31799863* N-CVE-2016-8482 |
Crítico | Nexus 9 | 28 de setembro de 2016 |
| CVE-2016-8427 | A-31799885* N-CVE-2016-8427 |
Crítico | Nexus 9 | 28 de setembro de 2016 |
| CVE-2016-8428 | A-31993456* N-CVE-2016-8428 |
Crítico | Nexus 9 | 6 de outubro de 2016 |
| CVE-2016-8429 | A-32160775* N-CVE-2016-8429 |
Crítico | Nexus 9 | 13 de outubro de 2016 |
| CVE-2016-8430 | A-32225180* N-CVE-2016-8430 |
Crítico | Nexus 9 | 17 de outubro de 2016 |
| CVE-2016-8431 | A-32402179* N-CVE-2016-8431 |
Crítico | Pixel C | 25 de outubro de 2016 |
| CVE-2016-8432 | A-32447738* N-CVE-2016-8432 |
Crítico | Pixel C | 26 de outubro de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
Elevação de vulnerabilidade de privilégio no driver da MediaTek
Uma elevação de vulnerabilidade de privilégio no driver do MediaTek pode permitir que um aplicativo malicioso local execute códigos arbitrários no contexto do kernel. Esse problema é classificado como crítico devido à possibilidade de comprometimento permanente local do dispositivo, que pode exigir a reinstalação do sistema operacional para reparar o dispositivo.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-8433 | A-31750190* MT-ALPS02974192 |
Crítico | Nenhuma** | 24 de setembro de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
** Dispositivos Google com suporte no Android 7.0 ou mais recente que instalaram todas as atualizações disponíveis não são afetados por essa vulnerabilidade.
Vulnerabilidade de elevação de privilégio no driver da GPU da Qualcomm
Uma elevação de vulnerabilidade de privilégio no driver da GPU da Qualcomm pode permitir que um aplicativo malicioso local execute códigos arbitrários no contexto do kernel. Esse problema é classificado como crítico devido à possibilidade de comprometimento permanente local do dispositivo, que pode exigir a reinstalação do sistema operacional para reparar o dispositivo.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-8434 | A-32125137 QC-CR#1081855 |
Crítico | Nexus 5X, Nexus 6, Nexus 6P, Android One | 12 de outubro de 2016 |
Vulnerabilidade de elevação de privilégio no driver de GPU NVIDIA
Uma elevação de vulnerabilidade de privilégio no driver da GPU NVIDIA pode permitir que um aplicativo malicioso local execute códigos arbitrários no contexto do kernel. Esse problema é classificado como crítico devido à possibilidade de comprometimento permanente local do dispositivo, que pode exigir a reinstalação do sistema operacional para reparar o dispositivo.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-8435 | A-32700935* N-CVE-2016-8435 |
Crítico | Pixel C | 7 de novembro de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
Vulnerabilidade de elevação de privilégio no driver de vídeo da Qualcomm
Uma elevação de vulnerabilidade de privilégio no driver de vídeo da Qualcomm pode permitir que um aplicativo malicioso local execute códigos arbitrários no contexto do kernel. Esse problema é classificado como crítico devido à possibilidade de comprometimento permanente local do dispositivo, que pode exigir a reinstalação do sistema operacional para reparar o dispositivo.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-8436 | A-32450261 QC-CR#1007860 |
Crítico | Nenhuma* | 13 de outubro de 2016 |
* Dispositivos Google com suporte no Android 7.0 ou versões mais recentes que instalaram todas as atualizações disponíveis não são afetados por essa vulnerabilidade.
Vulnerabilidades em componentes da Qualcomm
As vulnerabilidades a seguir afetam componentes da Qualcomm e são descritas em mais detalhes nos boletins de segurança da Qualcomm AMSS de novembro de 2015, agosto de 2016, setembro de 2016 e outubro de 2016.
| CVE | Referências | Gravidade* | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-8438 | A-31624565** | Crítico | Nenhuma*** | Qualcomm interno |
| CVE-2016-8442 | A-31625910** | Crítico | Nenhuma*** | Qualcomm interno |
| CVE-2016-8443 | A-32576499** | Crítico | Nenhuma*** | Qualcomm interno |
| CVE-2016-8437 | A-31623057** | Alta | Nenhuma*** | Qualcomm interno |
| CVE-2016-8439 | A-31625204** | Alta | Nenhuma*** | Qualcomm interno |
| CVE-2016-8440 | A-31625306** | Alta | Nenhuma*** | Qualcomm interno |
| CVE-2016-8441 | A-31625904** | Alta | Nenhuma*** | Qualcomm interno |
| CVE-2016-8398 | A-31548486** | Alta | Nexus 5X, Nexus 6, Nexus 6P, Android One | Qualcomm interno |
| CVE-2016-8459 | A-32577972** | Alta | Nenhuma*** | Qualcomm interno |
| CVE-2016-5080 | A-31115235** | Moderada | Nexus 5X | Qualcomm interno |
* A classificação de gravidade dessas vulnerabilidades foi determinada pelo fornecedor.
** O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
*** Dispositivos Google com suporte no Android 7.0 ou mais recente que instalaram todas as atualizações disponíveis não são afetados por essa vulnerabilidade.
Elevação da vulnerabilidade de privilégio na câmera Qualcomm
Uma elevação de vulnerabilidade de privilégio na câmera Qualcomm pode permitir que um aplicativo malicioso local execute códigos arbitrários no contexto do kernel. Esse problema é classificado como Alto porque primeiro ele precisa comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-8412 | A-31225246 QC-CR#1071891 |
Alta | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 26 de agosto de 2016 |
| CVE-2016-8444 | A-31243641* QC-CR#1074310 |
Alta | Nexus 5X, Nexus 6, Nexus 6P | 26 de agosto de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
Vulnerabilidade de elevação de privilégio em componentes da MediaTek
Uma elevação de vulnerabilidade de privilégio em componentes do MediaTek, incluindo o driver térmico e o driver de vídeo, pode permitir que um aplicativo local malicioso execute códigos arbitrários no contexto do kernel. Esse problema é classificado como alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-8445 | A-31747590* MT-ALPS02968983 |
Alta | Nenhuma** | 25 de setembro de 2016 |
| CVE-2016-8446 | A-31747749* MT-ALPS02968909 |
Alta | Nenhuma** | 25 de setembro de 2016 |
| CVE-2016-8447 | A-31749463* MT-ALPS02968886 |
Alta | Nenhuma** | 25 de setembro de 2016 |
| CVE-2016-8448 | A-31791148* MT-ALPS02982181 |
Alta | Nenhuma** | 28 de setembro de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
** Dispositivos Google com suporte no Android 7.0 ou mais recente que instalaram todas as atualizações disponíveis não são afetados por essa vulnerabilidade.
Vulnerabilidade de elevação de privilégio no driver de Wi-Fi da Qualcomm
Uma elevação de vulnerabilidade de privilégio no driver de Wi-Fi da Qualcomm pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-8415 | A-31750554 QC-CR#1079596 |
Alta | Nexus 5X, Pixel, Pixel XL | 26 de setembro de 2016 |
Vulnerabilidade de elevação de privilégio no driver de GPU NVIDIA
Uma elevação de vulnerabilidade de privilégio no driver da GPU NVIDIA pode permitir que um aplicativo malicioso local execute códigos arbitrários no contexto do kernel. Esse problema é classificado como Alto porque primeiro ele precisa comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-8449 | A-31798848* N-CVE-2016-8449 |
Alta | Nexus 9 | 28 de setembro de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
Vulnerabilidade de elevação de privilégio no driver de som da Qualcomm
Uma elevação de vulnerabilidade de privilégio no driver de som da Qualcomm pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-8450 | A-32450563 QC-CR#880388 |
Alta | Nexus 5X, Nexus 6, Nexus 6P, Android One | 13 de outubro de 2016 |
Vulnerabilidade de elevação de privilégio no driver de tela touchscreen Synaptics
Uma elevação de vulnerabilidade de privilégio no driver da tela touchscreen Synaptics pode permitir que um aplicativo malicioso local execute códigos arbitrários no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-8451 | A-32178033* | Alta | Nenhuma** | 13 de outubro de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
** Dispositivos Google com suporte no Android 7.0 ou mais recente que instalaram todas as atualizações disponíveis não são afetados por essa vulnerabilidade.
Vulnerabilidade de elevação de privilégio no subsistema de segurança do kernel
Uma elevação de vulnerabilidade de privilégio no subsistema de segurança do kernel pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-7042 | A-32178986 Kernel upstream |
Alta | Pixel C | 14 de outubro de 2016 |
Vulnerabilidade de elevação de privilégio no subsistema de desempenho do kernel
Uma elevação de vulnerabilidade de privilégio no subsistema de desempenho do kernel pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-0403 | A-32402548* | Alta | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 25 de outubro de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
Elevação da vulnerabilidade de privilégio no subsistema de som do kernel
Uma elevação de vulnerabilidade de privilégio no subsistema de som do kernel pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-0404 | A-32510733* | Alta | Nexus 5X, Nexus 6P, Nexus 9, Pixel C, Nexus Player, Pixel, Pixel XL | 27 de outubro de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
Vulnerabilidade de elevação de privilégio no driver de Wi-Fi da Qualcomm
Uma elevação de vulnerabilidade de privilégio no driver de Wi-Fi da Qualcomm pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-8452 | A-32506396 QC-CR#1050323 |
Alta | Nexus 5X, Android One, Pixel, Pixel XL | 28 de outubro de 2016 |
Vulnerabilidade de elevação de privilégio no driver de rádio da Qualcomm
Uma elevação de vulnerabilidade de privilégio no driver de rádio da Qualcomm pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-5345 | A-32639452 QC-CR#1079713 |
Alta | Android One | 3 de novembro de 2016 |
Vulnerabilidade de elevação de privilégio no subsistema de criação de perfil do kernel
Uma elevação de vulnerabilidade de privilégio no subsistema de criação de perfil do kernel pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-9754 | A-32659848 Kernel upstream |
Alta | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player | 4 de novembro de 2016 |
Elevação de vulnerabilidade de privilégio no driver de Wi-Fi da Broadcom
Uma elevação de vulnerabilidade de privilégio no driver de Wi-Fi da Broadcom pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-8453 | A-24739315* B-RB#73392 |
Alta | Nexus 6 | Uso interno do Google |
| CVE-2016-8454 | A-32174590* B-RB#107142 |
Alta | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 14 de outubro de 2016 |
| CVE-2016-8455 | A-32219121* B-RB#106311 |
Alta | Nexus 6P | 15 de outubro de 2016 |
| CVE-2016-8456 | A-32219255* B-RB#105580 |
Alta | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 15 de outubro de 2016 |
| CVE-2016-8457 | A-32219453* B-RB#106116 |
Alta | Nexus 6, Nexus 6P, Nexus 9, Pixel C | 15 de outubro de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
Vulnerabilidade de elevação de privilégio no driver de tela touchscreen Synaptics
Uma elevação de vulnerabilidade de privilégio no driver da tela touchscreen Synaptics pode permitir que um aplicativo malicioso local execute códigos arbitrários no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-8458 | A-31968442* | Alta | Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL | Uso interno do Google |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
Vulnerabilidade de divulgação de informações no driver de vídeo NVIDIA
Uma vulnerabilidade de divulgação de informações no driver de vídeo da NVIDIA pode permitir que um aplicativo malicioso local acesse dados fora dos níveis de permissão. Esse problema foi classificado como Alto porque pode ser usado para acessar dados sensíveis sem a permissão explícita do usuário.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-8460 | A-31668540* N-CVE-2016-8460 |
Alta | Nexus 9 | 21 de setembro de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
Vulnerabilidade de divulgação de informações no bootloader
Uma vulnerabilidade de divulgação de informações no carregador de inicialização pode permitir que um invasor local acesse dados fora do nível de permissão. Esse problema foi classificado como alto porque pode ser usado para acessar dados sensíveis.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-8461 | A-32369621* | Alta | Nexus 9, Pixel, Pixel XL | 21 de outubro de 2016 |
| CVE-2016-8462 | A-32510383* | Alta | Pixel, Pixel XL | 27 de outubro de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
Vulnerabilidade de negação de serviço no sistema de arquivos FUSE da Qualcomm
Uma vulnerabilidade de negação de serviço no sistema de arquivos FUSE da Qualcomm pode permitir que um invasor remoto use um arquivo especialmente criado para causar uma falha ou reinicialização do dispositivo. Esse problema é classificado como alto devido à possibilidade de negação remota de serviço.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-8463 | A-30786860 QC-CR#586855 |
Alta | Nenhuma* | 3 de janeiro de 2014 |
* Dispositivos Google com suporte no Android 7.0 ou versões mais recentes que instalaram todas as atualizações disponíveis não são afetados por essa vulnerabilidade.
Vulnerabilidade de negação de serviço no carregador de inicialização
Uma vulnerabilidade de negação de serviço no carregador de inicialização pode permitir que um invasor cause uma negação de serviço permanente local, o que pode exigir a reinstalação do sistema operacional para reparar o dispositivo. Esse problema é classificado como Alto devido à possibilidade de negação de serviço local permanente.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-8467 | A-30308784* | Alta | Nexus 6, Nexus 6P | 29 de junho de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
Elevação de vulnerabilidade de privilégio no driver de Wi-Fi da Broadcom
Uma elevação de vulnerabilidade de privilégio no driver de Wi-Fi da Broadcom pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto do kernel. Esse problema é classificado como moderado porque primeiro exige comprometer um processo privilegiado e é mitigado pelas configurações atuais da plataforma.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-8464 | A-29000183* B-RB#106314 |
Moderada | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 26 de maio de 2016 |
| CVE-2016-8466 | A-31822524* B-RB#105268 |
Moderada | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 28 de setembro de 2016 |
| CVE-2016-8465 | A-32474971* B-RB#106053 |
Moderada | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 27 de outubro de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
Vulnerabilidade de elevação de privilégios no Binder
Uma elevação de vulnerabilidade de privilégio no Binder pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto de um processo privilegiado. Esse problema é classificado como moderado porque primeiro exige comprometer um processo privilegiado e é mitigado pelas configurações atuais da plataforma.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-8468 | A-32394425* | Moderada | Pixel C, Pixel, Pixel XL | Uso interno do Google |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
Vulnerabilidade de divulgação de informações no driver da câmera NVIDIA
Uma vulnerabilidade de divulgação de informações no driver da câmera pode permitir que um aplicativo malicioso local acesse dados fora dos níveis de permissão. Esse problema é classificado como moderado porque primeiro ele precisa comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-8469 | A-31351206* N-CVE-2016-8469 |
Moderada | Nexus 9 | 7 de setembro de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
Vulnerabilidade de divulgação de informações no driver MediaTek
Uma vulnerabilidade de divulgação de informações no driver do MediaTek pode permitir que um aplicativo malicioso local acesse dados fora dos níveis de permissão. Esse problema é classificado como moderado porque primeiro ele precisa comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-8470 | A-31528889* MT-ALPS02961395 |
Moderada | Nenhuma** | 15 de setembro de 2016 |
| CVE-2016-8471 | A-31528890* MT-ALPS02961380 |
Moderada | Nenhuma** | 15 de setembro de 2016 |
| CVE-2016-8472 | A-31531758* MT-ALPS02961384 |
Moderada | Nenhuma** | 15 de setembro de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
** Dispositivos Google com suporte no Android 7.0 ou mais recente que instalaram todas as atualizações disponíveis não são afetados por essa vulnerabilidade.
Vulnerabilidade de divulgação de informações no driver da STMicroelectronics
Uma vulnerabilidade de divulgação de informações no driver da STMicroelectronics pode permitir que um aplicativo malicioso local acesse dados fora dos níveis de permissão. Esse problema é considerado moderado porque primeiro ele precisa comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-8473 | A-31795790* | Moderada | Nexus 5X, Nexus 6P | 28 de setembro de 2016 |
| CVE-2016-8474 | A-31799972* | Moderada | Nexus 5X, Nexus 6P | 28 de setembro de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
Vulnerabilidade de divulgação de informações no processador de áudio Qualcomm
Uma vulnerabilidade de divulgação de informações no processador de áudio Qualcomm permite que um aplicativo local malicioso acesse dados fora dos níveis de permissão. Esse problema foi classificado como moderado porque pode ser usado para acessar dados sensíveis sem permissão.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2017-0399 | A-32588756 [2] | Moderada | Tudo | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 18 de outubro de 2016 |
| CVE-2017-0400 | A-32438598 [2] | Moderada | Tudo | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 de outubro de 2016 |
| CVE-2017-0401 | A-32588016 | Moderada | Tudo | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 26 de outubro de 2016 |
| CVE-2017-0402 | A-32588352 [2] | Moderada | Tudo | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 de outubro de 2016 |
Vulnerabilidade de divulgação de informações no driver de entrada do HTC
Uma vulnerabilidade de divulgação de informações no driver de entrada do HTC poderia permitir que um aplicativo malicioso local acessasse dados fora dos níveis de permissão. Esse problema é classificado como moderado porque primeiro ele precisa comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-8475 | A-32591129* | Moderada | Pixel, Pixel XL | 30 de outubro de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
Vulnerabilidade de negação de serviço no sistema de arquivos do kernel
Uma vulnerabilidade de negação de serviço no sistema de arquivos do kernel pode permitir que um aplicativo malicioso local cause uma suspensão ou reinicialização do dispositivo. Esse problema é classificado como moderado porque é uma negação temporária de serviço que exige uma redefinição de fábrica para ser corrigida.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2014-9420 | A-32477499 Kernel upstream |
Moderada | Pixel C | 25 de dezembro de 2014 |
Perguntas e respostas comuns
Esta seção responde a perguntas comuns que podem surgir após a leitura deste boletim.
1. Como determino se meu dispositivo está atualizado para resolver esses problemas?
Para saber como verificar o nível do patch de segurança de um dispositivo, leia as instruções na programação de atualizações do Pixel e do Nexus.
- Os níveis de patch de segurança de 2017-01-01 ou mais recentes resolvem todos os problemas associados ao nível de patch de segurança 2017-01-01.
- Os níveis de patch de segurança de 2017-01-05 ou mais recentes resolvem todos os problemas associados ao nível de patch de segurança 2017-01-05 e a todos os níveis de patch anteriores.
Os fabricantes de dispositivos que incluem essas atualizações precisam definir o nível da string de patch como:
- [ro.build.version.security_patch]:[2017-01-01]
- [ro.build.version.security_patch]:[2017-01-05]
2. Por que este boletim tem dois níveis de patch de segurança?
Este boletim tem dois níveis de patch de segurança para que os parceiros do Android tenham a flexibilidade de corrigir um subconjunto de vulnerabilidades semelhantes em todos os dispositivos Android com mais rapidez. Recomendamos que os parceiros do Android corrijam todos os problemas deste boletim e usem o nível mais recente do patch de segurança.
- Os dispositivos que usam o nível do patch de segurança de 1º de janeiro de 2017 precisam incluir todos os problemas associados a esse nível, além de correções para todos os problemas relatados em boletins de segurança anteriores.
- Os dispositivos que usam o nível do patch de segurança de 5 de janeiro de 2017 ou mais recente precisam incluir todos os patches aplicáveis nestes e nos boletins de segurança anteriores.
Recomendamos que os parceiros agrupem as correções de todos os problemas que estão resolvendo em uma única atualização.
3. Como determinar quais dispositivos do Google são afetados por cada problema?
Nas seções de detalhes da vulnerabilidade de segurança 2017-01-01 e 2017-01-05, cada tabela tem uma coluna Dispositivos Google atualizados que abrange o intervalo de dispositivos Google afetados atualizados para cada problema. Essa coluna tem algumas opções:
- Todos os dispositivos Google: se um problema afetar todos os dispositivos e os dispositivos Pixel, a tabela vai mostrar "Todos" na coluna Dispositivos Google atualizados. "All" encapsula os seguintes dispositivos compatíveis: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel e Pixel XL.
- Alguns dispositivos Google: se um problema não afetar todos os dispositivos Google, os dispositivos afetados serão listados na coluna Dispositivos Google atualizados.
- Nenhum dispositivo do Google: se nenhum dispositivo do Google com a versão mais recente do Android disponível for afetado pelo problema, a tabela vai mostrar "Nenhum" na coluna Dispositivos atualizados do Google.
4. Para que as entradas na coluna de referências são mapeadas?
As entradas na coluna References da tabela de detalhes da vulnerabilidade podem conter um prefixo que identifica a organização à qual o valor de referência pertence. Esses prefixos são mapeados da seguinte maneira:
| Prefixo | Referência |
|---|---|
| A- | ID do bug do Android |
| QC- | Número de referência da Qualcomm |
| M- | Número de referência da MediaTek |
| N- | Número de referência da NVIDIA |
| B- | Número de referência da Broadcom |
Revisões
- 3 de janeiro de 2017: publicação do boletim.
- 4 de janeiro de 2017: o boletim foi revisado para incluir links do AOSP.
- 5 de janeiro de 2017: o número da versão do AOSP foi alterado de 7.1 para 7.1.1.
- 12 de janeiro de 2017: a entrada duplicada para CVE-2016-8467 foi removida.
- 24 de janeiro de 2017: a descrição e a gravidade de CVE-2017-0381 foram atualizadas.
- 2 de fevereiro de 2017: a CVE-2017-0389 foi atualizada com um link de patch adicional.